Esquemas de ciberseguridad candidatos que serán influyentes en los próximos años.
El ámbito de la ciberseguridad está creciendo de forma exponencial en Europa en los últimos años, debido, en gran parte, a los numerosos ciberataques que sufren a diario empresas, administraciones y particulares.
Protegerse y crear un producto seguro, a día de hoy, es un factor importantísimo para la credibilidad de cualquier empresa o administración. Por ello, en Europa se está fomentando la creación de esquemas de ciberseguridad que se adapten a las necesidades de los diferentes sectores económicos y sus prioridades.
Para definir las prioridades, sería interesante disponer de un cuadro con los factores pertinentes para tomar la decisión: tamaño del mercado, adopción de la actual certificación de ciberseguridad, trabajos preparatorios, normas disponibles, demanda del mercado, etc.
Lamentablemente nosotros no contamos con esa tabla pero que si tenemos algunas intuiciones que nacen de nuestra experiencia sobre por donde pueden ir las cosas. Las certificaciones de ciberseguridad avanzarán en todos los sectores, pero hay áreas, como el sector industrial, las redes 5G, o todo lo relacionado con los vehículos autónomos, que requerirán especial atención en los próximos meses.
En el ámbito industrial, hemos estado trabajando como editores y co-líderes del informe de recomendaciones para crear un esquema de certificación para los Sistemas de Automatización y Control Industrial (IACS por sus siglas en inglés). El mercado industrial tiene sus propias normas (por ejemplo, IEC62443) y considera que las normas horizontales (por ejemplo, Common Criteria) no satisfacen sus necesidades. Además, la adopción de la directiva NIS podría fomentarse con la creación de un esquema para los componentes industriales.
En el sector de la automoción, las Naciones Unidas han adoptado un reglamento (UNECE WP.29) que proporciona una línea de base mundial para la ciberseguridad de los vehículos, siguiendo el principio de seguridad por diseño y recomienda seguir normas de seguridad como la ISO 21434. Esto está claramente alineado con la visión de la Ley de Ciberseguridad y será fácil crear nuevos esquemas de certificación.
También hay una clara falta de un módulo criptográfico o de un esquema de validación de algoritmos criptográficos como el FIPS 140-2 norteamericano.
Los esquemas nacionales de ciberseguridad más importantes a nivel europeo.
Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad. Este es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España).
Todas ellas son certificaciones ágiles y ligeras, centradas en el análisis de la vulnerabilidad y las pruebas de penetración, con un esfuerzo y una duración limitados.
El desarrollo de todas estas metodologías y su certificación corresponden directamente al Organismo de Certificación de cada país. Esto está creando una pequeña fragmentación en el mercado que exige un esquema ligero a nivel europeo para no tener que certificar los productos en cada país.
De hecho, CEN/CENELEC JTC13 WG3 ya está trabajando intensamente para tener una primera versión de una metodología de evaluación común para finales de 2020. Esto facilitará claramente la creación de un nuevo esquema horizontal bajo el paraguas de la CSA.
Tener un producto que ha pasado la certificación a nivel europeo significa un amplio abanico de posibles ventas en Europa sin tener que llevar a cabo la certificación a nivel nacional en cada país, como hemos expuesto anteriormente, reduciendo así considerablemente el esfuerzo en términos de tiempo y dinero.
Certificaciones de ciberseguridad en el mercado de la UE. Obligación versus voluntad.
Toda certificación de ciberseguridad garantiza siempre que el producto ha superado algunos requisitos mínimos y que es, a priori, más ciberseguro que aquellos que no han superado certificación alguna, tanto si su certificado es obligatorio como si no.
Tanto para las empresas como para las administraciones es cada vez más importante, a la hora de adquirir un producto, que haya obtenido un certificado de ciberseguridad.
Si bien es cierto que, hace algunos años, disponer de un certificado de ciberseguridad era "sólo" recomendable, de hecho, hoy en día se está convirtiendo en obligatorio disponer de la certificación correspondiente para trabajar con la administración pública. Además, cada vez son más las grandes empresas que utilizan los catálogos nacionales de ciberseguridad como referencia para sus adquisiciones.
Sin embargo, si bien este enfoque puede funcionar bien para los gobiernos y las grandes empresas en las que se ha realizado un análisis de riesgos adecuado, no funciona en absoluto para las PYMES o los consumidores, que suelen tener una falsa sensación de seguridad.
Por ello, siempre que sea posible, la certificación de ciberseguridad será obligatoria para reducir el riesgo de ciberataques. Incidentes como el conocido Mirai botnet, en el que cientos de miles de dispositivos de IOT de bajo costo lanzaron ataques de denegación de servicio distribuidos, podrían ser mitigados con la certificación obligatoria de ciberseguridad de los dispositivos de consumo.
En jtsec tenemos casi la completa certeza de que el consumidor no pagará más por un dispositivo más seguro, al menos a corto plazo.
Además, cuando las vidas humanas estén en peligro (vehículos, dispositivos médicos, productos o servicios utilizados en entornos afectados por la directiva NIS, etc.), no habrá duda de que la certificación de la ciberseguridad debe ser obligatoria.
Consecuencias de los planes de certificación de la ciberseguridad para las empresas de terceros países.
Uno de los mayores desafíos internacionales son los acuerdos de reconocimiento entre varios países. Por supuesto, la certificación obligatoria podría significar un riesgo para los terceros países y, de alguna manera, romper el mercado. Esto es algo que ya predijimos en el EUCC AdHoc WG. No es aceptable obligar a los vendedores a certificar sus productos en Europa si ya tienen una Certificación de Ciberseguridad equivalente. Europa establecerá acuerdos de reconocimiento con terceros países para evitar este problema.
Esto se hará sin menoscabar la seguridad de los productos/servicios/procesos certificados, por lo que habrá normas para transferir un certificado emitido por un tercer país a un régimen europeo, y estas normas podrán incluir requisitos adicionales para los proveedores como, por ejemplo, en relación con el manejo y la divulgación de la vulnerabilidad. Tendremos más experiencia al respecto en los próximos años, cuando se ponga en marcha el esquema EUCC.
Europa, un referente mundial en materia de ciberseguridad.
Europa ha sido y sigue siendo un referente en materia de ciberseguridad. No obstante, siempre es bueno observar lo que están haciendo las organizaciones de elaboración de normas a nivel internacional, para que sirva de base para la creación de nuevos esquemas.
Este enfoque se encuentra en el corazón del propio CSA que prefiere utilizar normas internacionalmente reconocidas siempre que sea posible, a menos que esas normas sean ineficaces o inapropiadas para cumplir los objetivos legítimos de la Unión a ese respecto.
El objetivo es siempre tratar de que las certificaciones sean válidas en el mayor número posible de países. Al fin y al cabo, estamos en un mercado globalizado y la intención de cualquier desarrollador de productos es que éstos puedan venderse en el mayor número posible de países. Sin embargo, esto puede afectar a la agilidad para hacer cambios en las normas, porque lograr un consenso internacional siempre es difícil.
En este sentido, ENISA se esfuerza por agilizar los grupos de trabajo y, con ello, la aplicación de los esquemas, reuniendo a expertos de todo el continente y liderando la elaboración de las normas.
Una buena muestra de ello es la adopción de la extensión de Common Criteria Patch Management que se está desarrollando en el contexto del ISO SC 27 WG3 que aún se encuentra en estado de borrador. Esto es lo que se espera de un líder para llevar las cosas adelante.
